雨恩的生活日誌

對於Port Security, 一開始只是我們用來管制那些電腦可以連上公司網路的一種作法; 沒有申請的電腦, 無法連上內部網路; 自然我們就有了公司所有連網的電腦資料! 如果發生中毒或攻擊, 要找兇手就容易了! 也可以防止不相干人士, 任易地把電腦接上內部網路! SANS Institute - Intrusion Detection FAQ: Why your switched network isn't secure這篇文章有一段文字, 提到port security的妙用: "If your hub or switch has the ability to enable port security , this will help to protect you from both the MAC Flood and MAC spoofing attacks. ... This, like many security procedures, restricts the environment and amplifies the need for a management process as well as auditing process ." 為什麼呢? 因為switch是Layer 2的設備, 基本上就是處理封包傳送: 當Switch收到任一個封包, 它會檢查自己的mac-address table; 如果有找到要傳送的目的MAC Address, 就往那個埠送(效率好, 而且可以避免Sniffer); 如果找不到, 就往所有的埠送! (這個行為稱為 Broadcast , 即hub的原始行為, 有被Sniffer的危險. ) 可是Switch的記憶體有限, 這表示mac-address table不能太大(Cisco的Switch大約可容納4096-6144個MAC), 若實際上收到的MAC超出可用記憶體大小, Switch的行為就會異常! MAC Flood 攻擊就是利用這個原理, 送出大量不同MAC的封包, 使Switch改變行為(變成Hub), 這樣就可以進行Sniffer了! 所以設定port security後, 只有少數核可的MAC可以通行, 其他MAC會被丟棄; 這樣一來, MAC Flood攻擊就不能成

這是在公司小組會議時, 同事整理的CCNA課程報告, 跟我在CCNA Self-Study書籍看的多了一些東西, 摘錄如下: 1. STP(Spanning Tree Protocol), 主要用來解決交換器互連時, 若形成Loop造成broadcast strom的問題; 定義在1998年的IEEE 802.1D 2. STP缺點是收斂時間太長, 大約在30秒以上 3. 2001年IEEE 802.1w RSTP提出, 新增Alternate Port, Backup Port及減少Port State轉換時間來減少收斂時間, 可以快到1秒之內 4. Cisco的交換器 預設 使用的是Per-VLAN Spanning Tree Plus(PVST+), 即每個VLAN都有其各自的STP; 但也實作了2004年版的IEEE 802.1D STP(即RSTP) 指令: 查看STP #sh spanning-tree 調整priority (config)#spanning-tree vlan 1 priority xxx 改變成RSTP (config)# spanning-tree mode rapid-pvst 實際測試發現: 1. 每台交換器都要改成RSTP 2. 收斂時間真得很快, 小於1秒